Mirai haitake iskenyt suomalaisten modeemeihin

[Nerkoon]

https://www.viestintavirasto.fi/kyberturvallisuus/varoitukset/2016/varoitus-2016-04.html

Koskee ilmeisesti tässä vaiheessa Zyxelin ja Huawein tekemiä laitteita. Tarkat mallit ovat linkin takana. Miraista ilmeisesti pääsee eroon boottaamalla laitteen ja sitten päivittämällä firmwaren (jahka korjattu versio tulee saataville)

 

[Flash-A-Holic]

Mitä tuo Mirai käytännössä siis tekee? Itselle on ZyXEL AMG1001-T10A modeemi (ei löydy listalta) ja käyttöönotossa kävi ilmeisesti pieni kämmi. Laite piti siinä säätäessä nollata ja nollauksen jälkeen taisi unohtua vaihtaa oletussalasana . Parin päivän päästä huomasin, kun alkoi ihme mainoksia hyppimään silmille nettiä selaillessa. Tarkempi tutkimus osoitti, että DNS palvelin oli vaihtunut joksikin oudoksi . No siitä selvittiin ja Mirai ei ilmeisti oireile tällä tavalla vaan vika taisi olla ihan siinä oletussalasanan vaihtamatta jättämisessä?

 

[Nerkoon]

Mitä tuo Mirai käytännössä siis tekee? Itselle on ZyXEL AMG1001-T10A modeemi (ei löydy listalta) ja käyttöönotossa kävi ilmeisesti pieni kämmi. Laite piti siinä säätäessä nollata ja nollauksen jälkeen taisi unohtua vaihtaa oletussalasana . Parin päivän päästä huomasin, kun alkoi ihme mainoksia hyppimään silmille nettiä selaillessa. Tarkempi tutkimus osoitti, että DNS palvelin oli vaihtunut joksikin oudoksi . No siitä selvittiin ja Mirai ei ilmeisti oireile tällä tavalla vaan vika taisi olla ihan siinä oletussalasanan vaihtamatta jättämisessä?

Ilmeisesti sitä Miraita on varsin hankala huomata muuten kuin ehkä hidastelusta. Se lisää modeemisi bottiverkkoon, jota käytetään palvelunestohyökkäyksiin. Käsittääkseni kovimmat koskaan mitatut palvelunestot on tehty juuri Mirain avulla.

 

[TheMeII]

Mulla oli elisan valokuituboksi joskus vuos-pari sitten bottiverkossa. parashan on etten edes voi sitä ite hallita. elisa kerto sen ip:n ja murtauduin sinne itse. telnet yhteys ja user:user tunnuksilla roottina sisälle...

 

[mRkukov]

Ihan loogista että kovat hyökkäykset tehty reitittimillä. Hyökkäys ei vaadi juuri cpu tehoja, mutta sitäkin enemmän kaistaa. Mikäs sen parempi kaistan osalta kuin verkkolaite itse. Lisäksi kun suojaukset on luokkaa TheMellin case niin ei ihmekään että ne saastuu.

Joku kiinanpoika tehnyt ZyXELeihin jonkun kivan takaoven.

 

[Nerkoon]

Katkesihan tuossa viikonloppuna miljoonan saksalaisen netti, kun hakkerit yrittivät lisätä heidän modeeminsa Mirai verkkoon:

http://fin.afterdawn.com/uutiset/ar...oppalaisen-netti-katkesi-syyna-verkkohyokkays

 

[Infy]

Jos olet modeemisi NAT:n takana, mene https://www.grc.com/shieldsup ja valtise sieltä custom port probe portilla numero 7547, millä voit testata josko modeemisi on haavoittuvainen. Em. palvelulla on myös hyvä skannata common ports ja service ports ja varmistaa, että kaikki portit ovat näkymättömissä ulospäin "stealth".

 

[Nerkoon]

Onkohan Elisan toimittama modeemi haavoittuvainen? Ei ainakaan listalla vielä ollut.

Zyxel VMG3326-D20

Tänään tuossa viiden kuuden maissa ihmettelin, kun netti meni aivan tautisen hitaaksi, mutta kuitenkin toimi jotenkuten. Töpselin irtikäyttämisen jälkeen lähti kuitenkin toimimaan normaalisti. Ei tuo ennen ole noin hidastellut. Se on joko kokonaan poikki tai sitten toimii normaalisti.

Tai sitten ISP päivitti sitä